Add information about DH param compatibility
[ach-master.git] / src / practical_settings / webserver.tex
index 87ab63c..d39de0c 100644 (file)
@@ -52,7 +52,7 @@ Starting with lighttpd version 1.4.29 Diffie-Hellman and Elliptic-Curve Diffie-H
 By default, elliptic curve "prime256v1" (also "secp256r1") will be used, if no other is given.
 To select special curves, it is possible to set them using the configuration options \verb|ssl.dh-file| and \verb|ssl.ec-curve|.
 
-\configfile{10-ssl-dh.conf}{11-12}{SSL EC/DH configuration for lighttpd}
+\configfile{10-ssl-dh.conf}{11-13}{SSL EC/DH configuration for lighttpd}
 
 Please read section \ref{section:DH} for more information on Diffie Hellman key exchange and elliptic curves.
 
@@ -135,7 +135,7 @@ See appendix \ref{cha:tools}
 
 To configure SSL/TLS on Windows Server IIS Crypto can be used.~\footnote{\url{https://www.nartac.com/Products/IISCrypto/}}
 Simply start the Programm, no installation required. The tool changes the registry keys described below.
-A restart ist required for the changes to take effect.
+A restart is required for the changes to take effect.
 
 \begin{figure}[p]
   \centering
@@ -202,7 +202,7 @@ one algorithm after another and the effect on the supported clients
 tested using https://www.ssllabs.com.
 
 \verb|SSL 3.0|, \verb|SSL 2.0| and \verb|MD5| are turned off.
-\verb|TLS 1.0| and \verb|TLS 2.0| are turned on.
+\verb|TLS 1.0| and \verb|TLS 1.2| are turned on.
 
 \ctable[%
 caption={Client support},
@@ -270,52 +270,6 @@ Set-WebConfiguration -Location "$WebSiteName/$WebApplicationName" `
 See appendix \ref{cha:tools}
 
 %%---------------------------------------------------------------------- 
-\subsection{Supporting older clients}
-% hack.
-\gdef\currentsectionname{Webservers-legacy}
-
-Older clients like Internet Explorer on Windows XP (actually the Windows XP
-crypto stack), Java 6 and Java 7 aren't supported by the recommended Variant B
-cipher string.
-To catch most of those old clients you might use their inability to understand
-SNI to create a catchall page with a default SSL server. On the default page
-you should provide information about upgrading their browser to the user.
-This will not work with Java 7 because Java 7 understands SNI.
-
-\subsubsection{Apache}
-% hack.
-\gdef\currentsubsectionname{Apache}
-
-Create a default SSL server:
-
-\configfile{ports.conf}{12-13}{SNI for SSL on Apache}
-\configfile{000-default-ssl}{2-14}{SNI catchall on Apache}
-
-The catchall virtual server needs to be the first server in the config.
-You also should not use snakeoil certificates (as in the snipplet above)
-but the very same certificate as you use for the real service. In case you
-provide several virtual servers via SNI, the certificate for the catchall page
-needs to include all their names.
-
-%\subsubsection{lighttpd}
-%% hack.
-%\gdef\currentsubsectionname{lighttpd}
-%
-%\todo{someone needs to write that section or we just omit it}
-
-\subsubsection{nginx}
-% hack.
-\gdef\currentsubsectionname{nginx}
-
-Create a default SSL server:
-\configfile{default}{125-139}{SNI catchall on nginx}
-
-The real service then needs to be in its own server definition omitting the
-\texttt{default} keyword in the \texttt{listen} directive.
-You should not use snakeoil certificates (as in the snipplet above) but the
-very same certificate as you use for the real service. In case you provide
-several virtual servers via SNI, the certificate for the catchall page needs
-to include all their names.
 
 %%% Local Variables: 
 %%% mode: latex